Datadog Japanは1月28日、最新の「クラウドセキュリティの現状(State of Cloud Security)」レポートの日本語版を発表した。同日にオンラインで説明会を開催し、同社プレジデント&カントリーゼネラルマネージャー 日本法人社長の正井拓己氏、米国本社からHead of Security Advocacy Andrew Krug氏が説明を行った。

日本企業に広がる新たなクラウドセキュリティと課題

レポートでは、データペリメータ(データを守るために設定する境界)や中央管理型のマルチアカウント環境といった新しいセキュリティ戦略が、近年ますます普及していることを明らかにしている。

まず、正井氏は日本のクラウドセキュリティの現状について「昨今、マルチクラウド環境でシステムの構成が複雑化しており、どこで何が起きているかを正確に把握することが難しくなっている。また、生成AIの活用に伴い、データの所在や利用状況、アクセス権限の管理などを通じて信頼を担保することが新たな経営課題になっている」と指摘。

  • Datadog Japan プレジデント&カントリーゼネラルマネージャー 日本法人社長の正井拓己氏

    Datadog Japan プレジデント&カントリーゼネラルマネージャー 日本法人社長の正井拓己氏

そのうえで、同氏は「これまでのようにクラウドをどのように守るかという技術論ではなく、説明責任や透明性の確保、信頼の構築といった経営ガバナンスに視点が移っている。こうした複雑なクラウド環境の全体像をリアルタイムで把握するには、オブザーバビリティが鍵になる」と述べた。

データペリメータ実装とマルチアカウント管理の最新動向

続いて、Krug氏がレポートに関して解説を行った。今回のレポートでは、AWS(Amazon Web Services)、Microsoft Azure、Google Cloudを利用する数千の組織を対象としたサンプルから取得したセキュリティ体制データを分析。これによると、約40%の組織がデータペリメータを利用していることを確認し、データペリメータの実装は高度な取り組みとされていることを考えると、この割合は高い数値だという。

  • Datadog Head of Security Advocacy Andrew Krug氏

    Datadog Head of Security Advocacy Andrew Krug氏

データペリメータを実装する方法として最も一般的だったのは、S3バケットポリシーとVPCエンドポイントポリシーを用いる方法であり、セキュリティリスクを低減するために採用しているもう1つの戦略がマルチアカウント環境となっている。

  • データペリメータを実装する方法として最も一般的だったのは、S3バケットポリシーとVPCエンドポイントポリシーを用いる方法となっている

    データペリメータを実装する方法として最も一般的だったのは、S3バケットポリシーとVPCエンドポイントポリシーを用いる方法となっている

単一のアカウント内で最小権限を徹底することは困難であるため、AWS Organizationsを通じて複数のアカウントを中央管理することが、セキュリティのベストプラクティスとして定着している。こうしたアプローチにより、組織はトップダウンのガードレールを用いて、すべてのアカウントに対してセキュリティ要件を一貫して適用することが可能になるという。

同社の調査では、Organizationsのようなプラットフォームの導入が広く進んでいることが判明しており、86%の企業がOrganization内でマルチアカウントを利用し、うち3分の2以上(70%)の企業では、すべてのアカウントがOrganizationに参加しているとのこと。

組織が新たなセキュリティ戦略を導入している理由の1つとして、認証情報の盗難が依然として主要な攻撃経路であることが挙げられている。これは有効期限がなく、長期間使用され続ける認証情報が、ソースコード、コンテナイメージ、ビルドログ、アプリケーションアーティファクトなどに頻繁に漏えいすることで、問題はさらに深刻化している。

長期有効な認証情報と過剰権限のリスク、企業がとるべき対策

また、2025年の調査では、AWS IAMユーザーの59%、Google Cloudのサービスアカウントの55%、Microsoft Entra IDアプリケーションの40%において、1年以上前に作成されたアクセスキーが存在していた。

Krug氏は、2026年において認証情報の管理が重要になるとの見方を示しており、AWSのコンソールではIAMユーザーを用いた認証からフェデレーション認証によるSSO(シングルサインオン)に移行が進んでいるという。同氏は「フェデレーション認証を利用する企業は2024年の54%から2025年は61%に増加したが、こうした動きは今後も継続すると見込んでいる」と述べている。

  • AWSコンソールの認証方法別に見た組織数

    AWSコンソールの認証方法別に見た組織数

一方、依然としてリスクの高い長期有効なクラウド認証情報が一般的であり、3年以上前に作成したアクセスキーを持つクラウドユーザーは、AWSとGoogle Cloudのいずれも2024年の調査からの増加となる25%となっており、認証情報のローテーションに課題を抱えているとの認識を同氏は持っている。

  • いまだにリスクの高い長期有効なクラウド認証情報が一般的だ

    いまだにリスクの高い長期有効なクラウド認証情報が一般的だ

また、約5台に1台のEC2インスタンスが過剰な権限を保有していること加えて、多くのGoogle Cloud VMがコンピュートエンジンのデフォルトサービスアカウント経由で過剰権限を持っているとのことだ。

  • Google Cloud VMが依然として過剰な権限で実行中だという

    Google Cloud VMが依然として過剰な権限で実行中だという

このような状況に対し、Krug氏はセキュリティ文化の定着に向けて「1つ目はエンジニアリングチームにおけるセキュリティ文化を醸成する必要があり、どのように安全に作るかを考える文化だ。2つ目はID・認証情報の管理を日常業務として扱い、多くの本番環境においてアクセスキーを廃止する動きがある。レガシーな認証情報が残存している場合は、オブザーバビリティや鍵の管理を自動化すべき。3つ目は上流のプロセスにガバナンスを組み込むことであり、正しい開発フェーズに適切なチェックリストを適用することが望ましい」と述べていた。